[How to export events to Splunk [KSC for Windows]]

 

Доброго дня!

У меня сейчас так настроено (скрины ниже), настроил неделю назад,  пока разбирался с парсингом обнаружил что события сохраняются только и исключительно либо на сервере KSC (6/7 всех событий) либо улетают в SIEM по syslog (1/7 всех событий) то есть либо там либо там и делается это по не понятной закономерности в противоречии с настройками которые вы видите на скринах , можете пояснить? я настроил экспорт в SIEM всех событий сервера и политик, проверял совпадение в SIEM и в графическом интерфейсе KSC на более 15 уникальных записях, в том числе по времени просто искал, однозначно KSC либо в себя сохраняет событие либо событие отдает в SIEM  а в своей баз не сохраняет.

 

 

[How to export events to Splunk [KSC for Windows]]

Доброе утро!

В настоящей статье Вы в .9 написали "Прямо сейчас вы можете просматривать необработанные события KSC.", вопросы:

1. Пожалуйста раскройте смысл слова "необработанные" пояснением, как понимаю из статей в help они должны быть в стандартном для splunk формате и  их парсинг должен быть успешный. Статьи имел ввиду эти -https://support.kaspersky.com/help/KSC/13.2/ru-RU/151327.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/89277.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/151331.htm 

2. Будьте любезны подсказать нет ли у вас "образца" или ссылки на обсуждение или источник где можно почерпнуть набор  конфигурационных файлов splunk (transforms.conf, props.conf, tags.conf, eventtypes.conf и т.д.) для аддона Kaspersky Add-on for Splunk (скачать который можно по  https://splunkbase.splunk.com/app/4656 Latest Version 0.1.4 April 10, 2020). Хоть он и старый этот аддон и больше не поддерживается производителем я его использую, но набор конфигов в нём не парсит события из KSC передаваемые в splunk в формате Syslog (RFC 5424) - печаль, полагаю вы наверно сталкивались с такой ситуацией и есть решения, моих неглубоких знаний хватит конечно конфиги поравить но это будет очень медленно, надеюсь на быстрые решения и помощь)

Доп пояснения:

* Использую SIEM SPLUNK (пока тренюсь на бесплатной версии , с ограничением по количеству экспортируемых событий)

* У нас лицензионный KSC 13.2, лицензия позволяет транслировать в SIEM  как в формате CEF так и в формате Syslog (RFC 5424), я выбрал последний, настроил экспорт по UDP протоколу, выбрал экспортируемые события на KSC и в политиках групп, настроил коннектор на индексере splunk, всё отлично накапливается и отображается при поиске в splunk в виде и формате как у Вас на последнем скрине, именно в виде необработанных событий, то есть парсинг не работает( 

[How to export events to Splunk [KSC for Windows]]

Доброго вечера!

В настоящей статье Вы в .9 написали "Прямо сейчас вы можете просматривать необработанные события KSC.", вопросы:

1. Пожалуйста раскройте смысл слова "необработанные" пояснением, как понимаю из статей в help они должны быть в стандартном для splunk формате и  их парсинг должен быть успешный. Статьи имел ввиду эти -https://support.kaspersky.com/help/KSC/13.2/ru-RU/151327.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/89277.htm и https://support.kaspersky.com/help/KSC/13.2/ru-RU/151331.htm 

2. Будьте любезны подсказать нет ли у вас "образца" или ссылки на обсуждение или источник где можно почерпнуть набор  конфигурационных файлов splunk (transforms.conf, props.conf, tags.conf, eventtypes.conf и т.д.) для аддона Kaspersky Add-on for Splunk (скачать который можно по  https://splunkbase.splunk.com/app/4656 Latest Version 0.1.4 April 10, 2020). Хоть он и старый этот аддон и больше не поддерживается производителем я его использую, но набор конфигов в нём не парсит события из KSC передаваемые в splunk в формате Syslog (RFC 5424) - печаль, полагаю вы наверно сталкивались с такой ситуацией и есть решения, моих неглубоких знаний хватит конечно конфиги поравить но это будет очень медленно, надеюсь на быстрые решения и помощь)

Доп пояснения:

* Использую SIEM SPLUNK (пока тренюсь на бесплатной версии , с ограничением по количеству экспортируемых событий)

* У нас лицензионный KSC 13.2, лицензия позволяет транслировать в SIEM  как в формате CEF так и в формате Syslog (RFC 5424), я выбрал последний, настроил экспорт по UDP протоколу, выбрал экспортируемые события на KSC и в политиках групп, настроил коннектор на индексере splunk, всё отлично накапливается и отображается при поиске в splunk в виде и формате как у Вас на последнем скрине, именно в виде необработанных событий, то есть парсинг не работает(